Usar perfis de trabalho

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Um perfil de trabalho é um perfil gerenciado que tem dados de apps separados do perfil principal do usuário, mas compartilha algumas configurações do sistema, como Wi-Fi e Bluetooth. O objetivo principal de um perfil de trabalho é criar um contêiner segregado e seguro para armazenar dados gerenciados. O administrador de um perfil de trabalho tem controle total sobre o escopo, entrada, saída e ciclo de vida dos dados. Confira a seguir algumas características dos perfis de trabalho:

• Criação. Qualquer app no usuário principal pode criar um perfil de trabalho. O usuário é notificado sobre os comportamentos do perfil de trabalho e a aplicação de políticas antes da criação.

• Gerenciamento. Os apps conhecidos como proprietários de perfil podem invocar APIs na classe DevicePolicyManager para restringir o uso. Os proprietários do perfil são definidos na configuração inicial do perfil. As políticas exclusivas para perfis de trabalho envolvem restrições de apps, capacidade de atualização e comportamentos de intent.

• Tratamento visual. Os apps, as notificações e os widgets do perfil de trabalho são marcados e normalmente disponibilizados inline com os elementos da interface do usuário (IU) do usuário principal.

Detalhes da implementação

Os perfis de trabalho são implementados como usuários secundários, de modo que os apps executados no perfil de trabalho tenham um UID de uid = 100000 \* userid + appid. Esses perfis têm dados de apps separados (/data/user/userid), assim como os usuários principais.

O AccountManagerService mantém uma lista separada de contas para cada usuário. As diferenças de conta entre um usuário de perfil de trabalho e um usuário secundário normal incluem:

• O perfil de trabalho é associado ao usuário pai e é iniciado com o usuário principal no momento da inicialização.

• As notificações para perfis de trabalho são ativadas por ActivityManagerService, permitindo que o perfil de trabalho compartilhe a pilha de atividades com o usuário principal.

• Outros serviços de sistema compartilhados incluem IME, serviços A11Y, Wi-Fi e NFC.

• As APIs de acesso rápido permitem que os acessos rápidos mostrem apps com selo e widgets na lista de permissões do perfil de trabalho ao lado de apps no perfil principal sem alternar os usuários.

Segregação de dados

Os perfis de trabalho usam as seguintes regras de segregação de dados.

Apps

Quando o mesmo app existe no usuário principal e no perfil de trabalho, os apps são limitados com os próprios dados separados. Em geral, os apps agem de forma independente e não podem se comunicar diretamente com instâncias no limite do perfil do usuário, a menos que tenham a permissão INTERACT_ACROSS_PROFILES ou App-ops.

Contas

As contas no perfil de trabalho são exclusivas do usuário principal, e as credenciais não podem ser acessadas no limite do perfil do usuário. Somente apps no contexto correto podem acessar as respectivas contas.

Intents

O administrador controla se as intents são resolvidas dentro ou fora do perfil de trabalho. Por padrão, os apps do perfil de trabalho são restritos para permanecer dentro da exceção do perfil de trabalho da API Device Policy.

Identificadores de dispositivo

Em dispositivos pessoais com um perfil de trabalho, o Android 12 ou mais recente remove o acesso a identificadores de hardware do dispositivo (IMEI, MEID, número de série) e fornece um ID único e específico para a inscrição que identifica a inscrição do perfil de trabalho de uma organização específica. O ID de registro permanece estável em redefinições para a configuração original, permitindo o rastreamento confiável de inventário de dispositivos com perfis de trabalho.

Dispositivos de propriedade pessoal com um perfil de trabalho precisam usar o ID específico de registro. Dispositivos da empresa, incluindo o perfil de trabalho e os dispositivos totalmente gerenciados, também podem usar o ID. Para usar o ID específico da inscrição, os EMMs precisam definir o ID da organização para cada dispositivo que gerenciam. Depois disso, eles podem ler o ID específico da inscrição no dispositivo e processá-lo como um número de série. Para mais detalhes, consulte Melhorias na segurança e na privacidade do perfil de trabalho.

Configurações

A aplicação de configurações é restrita ao perfil de trabalho, com exceções para configurações de tela de bloqueio e criptografia que são restritas ao dispositivo e compartilhadas entre o usuário principal e o perfil de trabalho. Além dessas exceções, o proprietário do perfil não tem privilégios de administrador do dispositivo fora do perfil de trabalho.

Gerenciamento de dispositivos com um perfil de trabalho

O Android 5.0 e versões mais recentes oferecem suporte ao gerenciamento de dispositivos para perfis de trabalho em dispositivos pessoais com BYOD (traga seu próprio dispositivo) usando a classe DevicePolicyManager. Além disso, o Android 11 introduziu o conceito de perfis de trabalho em dispositivos da empresa. O recurso de gerenciamento de dispositivos no perfil de trabalho continua o mesmo para casos de BYOD e dispositivos da empresa. No entanto, os perfis de trabalho em dispositivos da empresa podem oferecer recursos/políticas adicionais, como installSystemUpdate, setScreenCaptureDisabled e setPersonalAppsSuspended, que podem estender a aplicação de políticas administrativas além do perfil de trabalho para determinadas políticas em todo o dispositivo.

• Perfil de trabalho em um dispositivo pessoal (BYOD): o dispositivo é pessoal e contém um perfil de trabalho gerenciado por um administrador de TI associado ao empregador.

• Perfil de trabalho em um dispositivo da empresa: o dispositivo é fornecido ou pertence ao empregador e contém um perfil de trabalho gerenciado por um administrador de TI associado ao empregador. Os apps podem chamar isOrganizationOwnedDeviceWithManagedProfile() para determinar se o dispositivo foi provisionado como um dispositivo de propriedade da organização com um perfil gerenciado.

Para mais informações sobre a criação de perfis de trabalho e o uso da API Device Policy, consulte Criar um perfil de trabalho.

Proprietários do perfil

Um app de cliente de política de dispositivo (DPC, na sigla em inglês) funciona como o proprietário do perfil quando um perfil de trabalho é criado. O app cliente DPC geralmente é fornecido por um parceiro de gerenciamento de mobilidade empresarial (EMM), como o Device Policy do Google Apps, e pode aplicar políticas quando definido como proprietário do perfil. O perfil de trabalho tem instâncias marcadas de apps que são visualmente distintas das instâncias pessoais de apps. O selo identifica um app como um app de trabalho. O EMM tem controle apenas sobre o perfil de trabalho (apps e dados de trabalho), e não sobre o espaço pessoal. As políticas de dispositivo são aplicadas apenas no perfil de trabalho, com algumas exceções, como a aplicação da tela de bloqueio, que é aplicável em todo o dispositivo.

Experiência do usuário no perfil de trabalho

O Android 9 ou versões mais recentes cria uma integração mais estreita entre os perfis de trabalho e a plataforma Android, facilitando para os usuários manter as informações profissionais e pessoais separadas nos dispositivos. As mudanças no perfil de trabalho aparecem no iniciador e oferecem uma experiência consistente do usuário em todos os dispositivos gerenciados.

Os usuários podem alternar o perfil de trabalho nas configurações ou no menu "Configurações rápidas". No Android 9 ou versões mais recentes, as implementações de dispositivos podem incluir uma alternância no rodapé da guia de trabalho para que os usuários ativem ou desativem o perfil de trabalho. A alternância do perfil de trabalho é feita de forma assíncrona e aplicada a todos os perfis de usuário válidos. Esse processo é controlado pela classe WorkModeSwitch.

Dispositivos com uma bandeja de apps

No Android 9 ou versões mais recentes, as mudanças na UX do perfil de trabalho para o Launcher3 ajudam os usuários a manter perfis pessoais e de trabalho separados. A gaveta de apps oferece uma visualização com guias para diferenciar os apps do perfil pessoal dos apps do perfil de trabalho. Quando os usuários acessam a guia "Perfil de trabalho" pela primeira vez, eles recebem uma visualização educativa para ajudar na navegação.

Os usuários podem alternar entre as diferentes visualizações de perfil usando guias de perfil ou uma interface do usuário semelhante na parte de cima da gaveta de apps:

A visualização com guias é implementada como parte da classe AllAppsContainerView Launcher3. Para uma implementação de referência do indicador de perfil com guias, consulte a classe PersonalWorkSlidingTabStrip.

Mensagem de orientação do usuário em dispositivos com uma guia de trabalho

O Android 9 ou versões mais recentes oferecem suporte a uma visualização educacional que informa os usuários sobre a finalidade da guia de trabalho e como eles podem facilitar o acesso aos apps de trabalho. Com o Launcher3, uma visualização educacional pode ser mostrada na tela da guia de trabalho quando os usuários abrem a guia de trabalho pela primeira vez, conforme mostrado na figura:

Figura 3. Visualização educacional

Dispositivos sem uma bandeja de apps

Para iniciadores sem uma bandeja de apps, é recomendável continuar colocando atalhos para os apps do perfil de trabalho na pasta de trabalho.

As implementações de tela de início personalizadas podem usar getProfiles() e getActivityList() para extrair uma lista de apps com um ícone na tela de início para o usuário do perfil de trabalho.

Em dispositivos que implementam uma pasta de trabalho, os usuários podem acessar os apps do perfil de trabalho abrindo a pasta de trabalho:

Mensagem de orientação do usuário em dispositivos com uma pasta de trabalho

Para iniciadores sem uma bandeja de apps, em que uma pasta de trabalho contém apps de trabalho, a mensagem de informações do perfil de trabalho pode ser mostrada na forma de um ícone de dica desdisponível quando o usuário abrir a pasta de trabalho pela primeira vez:

Figura 3. Dica dispensável

Validar a experiência do usuário no perfil de trabalho

A maneira mais simples de testar a experiência do usuário do perfil de trabalho é configurando um perfil de trabalho usando o app Test DPC. As etapas a seguir descrevem como configurar um perfil de trabalho em um dispositivo pessoal (cenário BYOD):

1. Comece com um dispositivo redefinido para a fábrica e conclua a configuração do perfil pessoal usando uma Conta do Google pessoal ou, como ponto de partida, use um dispositivo com um perfil pessoal.

2. Instale o app Test DPC na Google Play Store.

3. Abra o Acesso rápido aos apps ou a gaveta de apps e selecione Configurar DPC de teste.

4. Siga as instruções na tela para configurar um perfil de trabalho:

   
   Figura 4. Configurar perfil de trabalho
   
   Figura 5. Adicionar contas
   
   Figura 6. Configuração concluída

5. Abra o Acesso rápido aos apps ou a gaveta de apps e verifique se a guia de trabalho está presente e contém um rodapé do perfil de trabalho. Implementações alternativas do fabricante do dispositivo podem conter uma pasta de trabalho em vez de uma guia de trabalho.

6. Verifique se é possível alternar o perfil de trabalho nas Configurações rápidas (ou configurações) confirmando se os apps do perfil de trabalho (apps com o ícone de pasta) estão ativados e desativados conforme o esperado. Em algumas implementações de dispositivo, os apps de trabalho podem ficar esmaecidos quando o perfil de trabalho está desativado, enquanto outras, como implementações com uma guia de trabalho, podem mostrar uma sobreposição com uma mensagem informando que o perfil de trabalho está desativado. As figuras a seguir mostram exemplos de perfis de trabalho ativados e desativados em um dispositivo que implementa uma guia de trabalho:

   
   Figura 7. Alternar para ativar o perfil de trabalho
   
   Figura 8. Desativado, perfil de trabalho desativado

Crachá do app do perfil de trabalho

No Android 9 ou versões mais recentes, por motivos de acessibilidade, a cor do selo de trabalho é azul (#1A73E8) em vez de laranja.